Protegendo a Indústria Automotiva de Ataques APT na Era da Indústria 4.0

10 de abril de 2024
Créditos: TXOne Networks
O artigo original em inglês pode ser lido aqui: https://www.txone.com/blog/protecting-automotive-industry-from-apt-attacks-in-industry-4-0/

 

Introdução

A indústria automobilística é um alvo constante para grupos de ameaças cibernéticas devido à sua ampla influência, que abrange desde a fabricação de veículos até infraestruturas operacionais essenciais. Como uma das maiores indústrias do mundo, o setor automotivo apresenta oportunidades lucrativas para ciberespionagem e ganhos financeiros ilícitos. Em nossa análise, que utiliza fontes públicas de janeiro de 2023 a fevereiro de 2024, identificamos 30 incidentes de segurança cibernética afetando diversas áreas da indústria, incluindo fornecedores, fabricantes, concessionárias e integradores.

Estes incidentes são predominantemente ataques de ransomware perpetrados por grupos notórios como LockBit, Black Basta e Qilin, conforme mostra a Figura 1. Os dados indicam que esses ataques são motivados por ganhos financeiros e não discriminam suas vítimas.
Empregando uma estratégia de dupla extorsão, os atacantes não apenas criptografaram arquivos de alto valor, mas também exfiltraram dados, aumentando a ameaça às organizações alvo.

É importante destacar que esses atores de ameaças frequentemente exploram vulnerabilidades amplamente conhecidas, conhecidas como vulnerabilidades de 1 dia, ou empregam táticas de engenharia social para invadir as redes internas de seus alvos, prosseguindo diretamente para a implantação de ransomware. Nesses casos, manter os ativos de perímetro atualizados e garantir o treinamento adequado em cibersegurança pode mitigar a maioria dos ataques.

No entanto, nossos estudos também revelam seis incidentes fora do domínio do ransomware, envolvendo grupos de Advanced Persistent Threat – APT (Ameaça Persistente Avançada) que empregam táticas sofisticadas para infiltrar seus alvos.
Esses incidentes destacam a necessidade de as empresas automotivas implementarem estratégias defensivas personalizadas, incluindo a adoção de medidas avançadas de detecção e resposta a ameaças, para combater eficazmente essas ameaças mais estratégicas.

 
Fig. 1 – Ataques de ransomware na Indústria Automobilística (janeiro 2023 a fevereiro 2024)
Figura 1: Ataques de ransomware na Indústria Automobilística (janeiro 2023 a fevereiro 2024)

 

Entendendo a Espionagem Direcionada do APT32 no Setor Automotivo

Na ausência de dados mais recentes das empresas vitimadas, nossa análise se concentrará em dissecar ataques cibernéticos históricos e fundamentais dentro do setor automotivo. Este exame dos grupos APT, como o APT32, revela as estratégias de resiliência utilizadas pela indústria automotiva para se proteger dessas ameaças sofisticadas.

O APT32, também conhecido como Grupo OceanLotus, demonstrou uma preferência marcante por visar a indústria automotiva em 2019, com o aparente objetivo de roubar segredos comerciais. Essa inclinação é amplamente interpretada como um esforço para fortalecer as políticas automotivas domésticas vietnamitas por meio de meios clandestinos [1] [2] [3].

Historicamente, o APT32 tem se envolvido em espionagem contra uma ampla gama de alvos, incluindo entidades do setor privado, governos estrangeiros, dissidentes e jornalistas. Em uma virada estratégica, o grupo intensificou recentemente seu foco no setor automotivo, invadindo redes de fabricantes de automóveis para exfiltrar segredos comerciais automotivos — um objetivo primário de sua campanha.

O modus operandi do APT32, que se alinha com interesses patrocinados por governos de algumas nações, incorpora uma ampla gama de táticas catalogadas dentro do framework MITRE ATT&CK. Para facilitar o entendimento, representamos sua metodologia de ataque complexa em um processo simplificado, retratado na Figura 2.

 
Fig. 2 – Processo simplificado de ataque APT32
Figura 2: Processo simplificado de ataque APT32

 

Fortalecendo a Cibersegurança entre Windows, MacOS e Linux

No panorama das ameaças de cibersegurança, grupos APT se destacam devido aos seus métodos altamente direcionados e sofisticados. Ao contrário da abordagem genérica típica dos ataques convencionais de ransomware, grupos APT, como o APT32, meticulosamente elaboram seus ataques para explorar as vulnerabilidades únicas de seus alvos. Essa personalização se estende ao desenvolvimento de malware que opera perfeitamente em vários sistemas operacionais — Windows, MacOS e Linux — destacando a versatilidade e a engenhosidade técnica dessas ameaças.

Um estudo de caso da Trend Micro revela um exemplo particularmente elaborado dessa abordagem: um backdoor especificamente projetado para infiltrar computadores MacOS [4]. Esse backdoor é inicialmente disseminado por meio de um documento Word aparentemente inofensivo contendo macros maliciosas. Uma vez que um dispositivo é comprometido, o malware aproveita com engenhosidade comandos nativos do MacOS para roubar dados. Em uma demonstração adicional de sofisticação, ele atribui um identificador único a cada máquina infectada, gerando um hash MD5 a partir das saídas de comandos específicos do MacOS. Este método não é apenas sobre coletar dados; é projetado para passar despercebido pelos mecanismos de defesa, mascarando-se como tráfego legítimo.

 
Fig. 3 – Payload do Documento Entregue Deobfuscated
Figura 3: Payload do Documento Entregue Deobfuscated

Com sua dependência diversificada em diferentes sistemas operacionais com base nas necessidades do projeto, a indústria automotiva apresenta uma ampla superfície de ataque para esses grupos APT. Funcionários neste setor podem usar Linux, Windows ou MacOS, cada um oferecendo pontos de entrada específicos para atacantes. Essa diversidade sublinha uma vulnerabilidade crítica: à medida que os grupos APT aprimoram seu malware, o risco de penetração nas redes internas das empresas automotivas aumenta significativamente. Assim, é imperativo que essas empresas reforcem suas defesas de cibersegurança em todos os sistemas operacionais com igual empenho. Além da mera atenção ao MacOS e Linux, há uma necessidade premente de visibilidade abrangente da Tecnologia Operacional (OT). Tal abordagem holística é essencial não apenas para detectar, mas também para conter e neutralizar eficazmente essas ameaças.

 

Cobalt Strike implantado na rede alvo

No reino sombrio das ameaças cibernéticas, grupos APT como o APT32 aperfeiçoaram uma técnica particularmente insidiosa: a implantação de beacons Cobalt Strike nos dispositivos que eles comprometem. Essa ferramenta não é exclusiva do APT32 — outros grupos notórios, como Chimera, APT29 e Leviathan, também a utilizam para o que é conhecido no mundo cibernético como atividades de “post-exploitation”. Essencialmente, uma vez que violam um dispositivo, esses beacons servem como seus olhos e ouvidos dentro do sistema comprometido.

Cobalt Strike representa o ápice da inovação maliciosa. Comercializado como um kit de ferramentas de acesso remoto abrangente, oferece aos atacantes um amplo espectro de capacidades — desde descobrir dados valiosos dentro da rede, evadir a detecção por softwares de segurança, escalar seus privilégios de acesso até exfiltrar informações sensíveis. Sua versatilidade é ainda mais destacada por sua compatibilidade entre plataformas Windows, MacOS e Linux. A Figura 4 mostra um exemplo de interação com a área de trabalho da vítima [5].

 
Fig. 4 – Exemplo de interação do Cobalt Strike com o desktop da vítima
Figura 4: Exemplo de interação do Cobalt Strike com o desktop da vítima

Ao considerar a indústria automotiva, um setor cada vez mais dependente da integração da Tecnologia da Informação (IT) e Tecnologia Operacional (OT) para fabricação automatizada e computação em nuvem, a ameaça representada por ferramentas como Cobalt Strike torna-se particularmente grave. A flexibilidade nos sistemas operacionais usados pelos funcionários — com base nas necessidades do projeto — amplia a superfície de ataque potencial [6]. Este cenário sublinha um desafio crítico: à medida que as empresas automotivas avançam para processos de produção mais automatizados e flexíveis [7][8], seus ambientes de IT e OT tornam-se alvos tentadores para grupos APT equipados com ferramentas sofisticadas como Cobalt Strike.

 
Fig. 5 – Cenário de ataque de grupos de ameaça na Indústria Automotiva
Figura 5: Cenário de ataque de grupos de ameaça na Indústria Automotiva

Imagine a indústria automotiva como um campo de batalha no reino digital, onde atacantes e defensores estão constantemente evoluindo. A Figura 5 mostra um exemplo de ataque que grupos de ameaças podem ter usado para alvos da indústria automotiva. O primeiro passo em um ataque, como ilustrado em nosso exemplo, envolve a meticulosa coleta de endereços de e-mail de potenciais alvos dentro do setor automotivo. Os atacantes então utilizam astutamente serviços de armazenamento em nuvem populares como Dropbox, Amazon S3 e Google Drive para hospedar suas ferramentas maliciosas – uma tática comum entre grupos APT. Esses grupos frequentemente iniciam sua incursão por meio de dois métodos principais: comprometimento sem clique (drive-by compromisse), que enganam os usuários ao baixar malware apenas visitando um site comprometido, ou e-mails de spearphishing, que são mensagens personalizadas projetadas para enganar os destinatários a abrir anexos ou links prejudiciais.

Em ataques mais sofisticados, frequentemente no nível de APTs patrocinados por governos de algumas nações, vulnerabilidades zero-day – falhas de software previamente desconhecidas – podem ser exploradas, especialmente em alvos críticos de alto risco como o setor de energia. Uma vez que um funcionário desavisado introduz inadvertidamente malware em seu sistema, o palco está montado para os atacantes implantarem beacons Cobalt Strike. Esses beacons não são apenas ferramentas para estabelecer uma posição inicial; são canivetes suíços para criminosos se comunicarem com um servidor de comando e controle (C&C) para receberem instruções adicionais.

O prêmio máximo para esses atacantes frequentemente inclui segredos comerciais e propriedade intelectual, ativos valiosos que podem fornecer vantagens competitivas ou serem vendidos por um alto preço na dark web. A situação se agrava quando os atacantes conseguem se movimentar lateralmente dentro da rede de uma empresa, eventualmente comprometendo sistemas críticos que controlam processos de fabricação automatizados.

As consequências de tais violações podem ser catastróficas, resultando não apenas na perda de informações sensíveis, mas também na possível paralização das linhas de produção.

A pesquisa da TXOne Networks lança luz sobre as ameaças cibernéticas multifacetadas enfrentadas pelas fábricas automotivas e destaca os significativos riscos financeiros e operacionais associados a tais violações de segurança. Essas descobertas servem como um lembrete contundente da necessidade de medidas robustas de cibersegurança em uma indústria cada vez mais dependente de tecnologias digitais e interconectadas.

 

Conclusão

Dos últimos 30 incidentes de cibersegurança que impactaram a indústria automotiva entre janeiro de 2023 e fevereiro de 2024, a maioria consistiu em ataques aleatórios de ransomware. No entanto, seis incidentes se destacaram por não envolverem ransomware, e alguns deles até causaram paralisações na produção.

Em comparação com ataques aleatórios de ransomware, ataques de Ameaça Persistente Avançada (APT) frequentemente empregam estratégias sofisticadas para comprometer seus alvos. Esses atacantes não apenas realizam um extenso reconhecimento em seus alvos, mas também usam ferramentas avançadas como Cobalt Strike para atividades de post-exploitation aprofundadas, representando um risco significativo para a continuidade da produção e a segurança da propriedade intelectual.

Com a indústria automotiva adotando a Indústria 4.0, a integração dos ambientes de Tecnologia da Informação (IT) e Tecnologia Operacional (OT) está se tornando cada vez mais comum. Quando ambientes de IT são visados por ataques APT patrocinados por governos, até mesmo ambientes OT sujeitos a regulamentações específicas ou padrões de segurança mais rigorosos podem estar em risco de ataques de movimento lateral. É bem conhecido que, se os atores de ameaças ganharem acesso ao ambiente OT, eles podem interromper as linhas de produção. Roubar segredos comerciais e propriedade intelectual também é um objetivo primário para esses atacantes.

A possibilidade de atores de ameaças penetrarem sistemas OT e interromperem processos de fabricação destaca a necessidade de uma estratégia de defesa robusta. As empresas automotivas precisam expandir suas medidas de cibersegurança para incluir não apenas sistemas Windows, mas também MacOS e Linux, garantindo uma proteção abrangente de todos os ativos digitais. Proteger ambientes OT é igualmente crucial, exigindo consciência de sua vulnerabilidade. Adotar uma mentalidade de “never trust, always verify” (nunca confie, sempre verifique) é essencial. Essa abordagem de Zero-trust exige verificação rigorosa de todos os usuários, dispositivos e processos, com acesso negado por padrão até que a legitimidade seja estabelecida.

Para combater efetivamente essas ameaças complexas, as empresas automotivas devem entender e monitorar minuciosamente suas redes OT. Ao adotar uma abordagem proativa, elas podem identificar e neutralizar ameaças cibernéticas potenciais antes que causem danos, garantindo o progresso da indústria e a proteção de seus valiosos ativos.

Referências
[1] Julia Sowells, “Yet Again! Cyber Attack on Toyota Car Maker – Data breach”, HackerCombat, April 2, 2019.
[2] Kayla Matthews, “Incident of the week: Toyota’s second data breach affects millions of drivers”, Cyber Security Hub, August 29, 2023.
[3] LIFARS, “APT32 in the Networks of BMW and Hyundai”, LIFARS, December 21, 2019.
[4] Jaromir Horejsi, “New MacOS backdoor linked to OceanLotus found”, Trend Micro, April 4, 2018.
[5] Fortra, “Screenshots | Cobalt Strike”, Fortra, July 25, 2023.
[6] Kevin Bostic, “BMW to deploy iPads and mimic Apple Genius program to serve customers”, AppleInsider, February 11, 2013.
[7] Robbie Dickson, “How Industry 4.0 could Revolutionizing EV Manufacturing”, Firgelli Automations, July 5, 2023.
[8] Amazon Web Services, “Volkswagen Takes Production to the Cloud”, Amazon Web Services, Accessed March 15, 2024.

 

SAIBA MAIS